HKCERT:去年網安事故升27%創新高 三成企業無人手難防AI攻擊
香港生產力促進局轄下的香港網絡安全事故協調中心 (HKCERT) 發表年度「香港網絡安全展望 2026」 。2025年本港錄得15,877宗網安事故,按年上升27%,創下歷年新高。報告同時預測2026年將有五大網絡安全風險浮現,主要分為AI應用及供應鏈風險兩大類。生產力局首席數碼總監黎少斌表示:「AI技術普成為黑客的利器,使網絡威脅更趨隱蔽且規模更大。」
生產力局首席數碼總監黎少斌表示:「報告顯示,企業在使用AI工具方面普遍缺乏清晰規範,特別是中小企在資源和認知上的限制,令他們未必充分了解當中潛在風險。此外,供應鏈攻擊已成為企業安全防線中最脆弱的一環,即使企業本身的防護措施完善,單一合作方的漏洞足以引發連鎖危機。面對這些挑戰,企業必須從被動應對轉向主動部署,著手制定明確的 AI 使用規範與審核機制,深度整合至企業的整體網絡安全策略之中。」
HKCERT同時發表「香港企業網絡安全現況」研究結果,分析本地企業在面對網絡風險時的防禦能力與資源配置現況。是次研究涵蓋622間企業 (包括544間中小企及78間大企業),並訪問50間網絡安全服務供應商,評估本地企業選擇網絡安全服務時的重要因素。研究顯示,七成企業有設網絡安全人手,反映本地企業對網絡防禦的重視程度逐步提升。當中不少中小企亦已著手加強保安部署,展現積極應對威脅的意識,惟在技術應用層面及資源投放方面,與大型企業相比仍存在一定差距。另外,35%使用AI的企業表示會輸入公司資料至AI工具,顯示本地整體防禦能力及 AI管治意識仍有進一步提升的空間。
2025年網安事故概況:
釣魚攻擊佔近六成 事故宗數破紀錄
根據HKCERT最新統計,2025年共錄得15,877宗網安事故,其中網絡釣魚攻擊持續成為最主要的威脅來源,佔整體事故近六成 (57%) 。由於生成式AI令釣魚訊息更具真實感,亦更難辨識,進一步加劇網絡安全風險。釣魚攻擊場景亦正由傳統電郵蔓延至 社交媒體或即時通訊平台 (如WhatsApp) (34%)、加密貨幣平台 (18%) 等。
同時,易受攻擊系統的個案亦顯著增加 (2,328宗,佔整體事故15%),較去年上升超過3.5倍,顯示系統配置錯誤及未及時修補漏洞,已形成網絡安全缺口。殭屍網絡 (Botnet) 個案則與去年相約 (18%),雖然呈不變趨勢,但殭屍網絡本身極難徹底清除,是長期潛伏的威脅來源。
2026年五大網絡安全風險
根據行業專家分析及生產力局對本地企業環境的持續研究,綜合業界趨勢與技術發展,HKCERT預測以下五大網絡安全風險將於2026年對企業構成重大挑戰:
1. AI 驅動的網絡攻擊與代理式AI風險 (Agentic AI)
隨着AI技術日益進步,黑客亦開始利用AI進行更高階的攻擊。尤其是具備自主學習與執行能力的代理式AI,能夠在無需人手介入的情況下自行判斷並採取實際行動,一旦被黑客入侵,將自動執行潛在惡意指令,令攻擊更難預測與防範。
2. 企業AI規管薄弱加劇資料外洩影響
在缺乏內部AI管治框架的情況下,企業敏感資料 (如客戶資訊、合約內容等) 可能因員工誤用公共 AI 平台而外洩。常見情況包括:員工使用未經授權工具,且對平台隱私聲明理解不足,誤判資料安全性,繼而輸入敏感內容,造成實際洩漏。
3. 供應鏈漏洞及第三方安全缺口
企業在業務過程中愈來愈依賴外判服務及第三方平台處理業務流程,然而當這些合作夥伴遭受網絡攻擊或安全系統有漏洞時,亦會嚴重影響企業的網絡安全。即使企業本身的防禦措施完善,也可能因合作方出現漏洞而間接受害。
4. 過度依賴雲端基礎設施導致單一故障點
雲端平台已成為企業日常營運的基礎設施,包括資料儲存、應用部署、通訊及備份等。然而,過度依賴單一雲端供應商而缺乏備援方案,將令企業在遇上平台故障或供應商中斷服務時無法運作。
5. 具AI功能設備的新興威脅
隨着智能設備 (如語音助理、辦公或客服機械人等) 廣泛應用於營運環節,這些具AI功能的設備開始暴露出潛在的安全風險。這些設備通常會配置大型語言模型以協助理解與解析人類指令。然而,隨著大型語言模型被嵌入實體系統,其原本存在於數字環境中的安全漏洞,也可能進一步延伸並影響現實世界。若缺乏嚴謹的驗證機制,極易受到錯誤指令或語音欺騙影響,而執行危險動作。
近三成企業仍無人手負責網安
「香港企業網絡安全現況」結果顯示,超過七成 (71%) 企業有設立網安人員,反映整體對網安工作的重視程度正逐步提升。按企業規模劃分,67%的中小企有員工負責網絡安全 ,而大企則有超過九成 (95%)。其中,26%中小企設有專職網安人員,與大企業的59%相比仍有差距,反映不同規模企業在資源配置與專業支援方面存在不同挑戰。
中小企防禦力與投資有待加強
不少中小企已部署基本防護措施,例如有 48%中小企採用電郵保安方案,但相比大企業的79%,仍有進一步提升空間。至於特權存取管理 (PAM) 方面,中小企的採用率為29%,亦低於大企業的60%。進階防護技術如資料保護措施 (中小企39%,大企72%) 方面,亦反映中小企在推動技術升級方面仍需支援,尤其在數據安全日益重要的今天,大中小企的防護同樣不可忽視。
在資源投放方面,雖然中小企整體投入較為審慎,但已有部分企業逐步加強網安投資與培訓。過去一年,13%的中小企增加了網安相關資源 (人手、設備等),而在網安培訓方面,亦有12%的中小企加大投入。相對而言,大企業的比例分別為41%及50%。展望未來12個月,中小企在增聘網安人手 (中小企5%,大企15%)、培訓 (中小企13%,大企38%)、預算 (中小企13%,大企36%) 等方面的規劃較為保守,但隨着威脅形勢演變,相信企業將逐步提升相關投入,以強化整體防禦能力。
HKCERT 五大建議:助企業建立有效網安防禦機制
HKCERT提出五項建議,涵蓋政策制定、技術實施及員工參與三大範疇,協助企業建立全面防禦機制﹕
1. 指派人手負責網安﹕企業應指派具備基本網安知識的員工負責日常監察與應變工作,有清晰職責分工,確保能及時應對突發情況。
2. 推行AI治理及規範﹕隨着 AI 工具及第三方平台的應用日益普及,企業應制定相關政策與操作指引,清楚列明可使用的工具、資料輸入範圍,以及供應商出現事故時的應變流程,降低技術應用帶來的營運風險。
3. 全體員工共同合作防範釣魚攻擊:企業應同時採取技術措施(如電郵過濾、多重認證)與全員參與的安全文化,共同防範釣魚攻擊,提升每位員工辨識可疑郵件與連結的能力,減少資料外洩風險。
4. 提高全體員工網安意識﹕網絡安全是全體員工的共同責任。企業應定期為各部門提供針對性的安全培訓, 特別是涉及敏感數據的崗位, 並透過模擬演練與實例學習, 加強應變能力,降低人為錯誤。
5. 強化技術保護措施﹕企業應落實關鍵的網絡安全技術,包括:
- 電郵保安與存取權限管控
- 資料保護措施(如加密與備份)
- 遠端存取保安機制(如 VPN、身份驗證)
- 主動式安全方案(如入侵偵測、防火牆監控)
同時應定期進行滲透測試與風險評估,涵蓋供應鏈合作夥伴、外判系統及業務平台,持續強化整體防禦能力。
HKCERT追蹤攻擊源頭 發放公眾警報
在面對日益複雜的網絡威脅及不斷演進的攻擊技術時,協助中小企業有效部署網絡安全防護已成為社會各界的重要責任。除設有24小時事故報告及支援熱線外,HKCERT亦負責持續監測本地網絡活動,並於偵測到針對香港的網絡攻擊時,主動追蹤及打擊源頭和適時發放公眾警報,近年來,HKCERT更運用自身研發的AI系統,預先打擊釣魚網站,防患於未然。
夥數字辦審核市面上網安服務商
對於中小企不知如何選擇合適的網安服務商,HKCERT去年開始,與數字政策辦公室推出「網絡安全服務供應商聯動計劃」 。該計劃透過一站式平台,匯聚21家通過審核的網安服務商,提供防護、評估、應變及培訓四大範疇的網安服務,有效協助中小企快速配對最合適的解決方案,提升其整體防禦能力。未來,該計劃將持續優化服務內容,推動資源共享,與業界攜手構建更安全的數碼營商環境。
